Inzagerecht en informed consent: uitgangspunten van de AVG en hun gevolgen voor verwerking van persoonsgegevens in de zorgsector

Het is een van de meest gevoelige soorten gegevens: de bijzondere gegevens betreffende iemands gezondheid, zoals ook expliciet gecategoriseerd in artikel 9 AVG .[1] Vanuit ieders gezonde verstand kan men zich bedenken dat gezondheid bij uitstek een privézaak is: er zijn maar weinig onderwerpen die meer met het privéleven zijn verweven. Denk hierbij ook aan de vertrouwensrelatie tussen arts en patiënt en het medisch beroepsgeheim. Tegenwoordig zijn de arts en de patiënt echter niet meer de enigen waar kennis over de gezondheidstoestand van patiënten bekend is: patiëntengegevens worden en masse in elektronische systemen opgeslagen in alle lagen, hoeken en gaten van de zorgsector. In dit artikel zal ik eerst kort ingaan op wat medische data precies is, daarna belichten hoe de gegevensverwerking wordt gewaarborgd en ingezien kan worden en ten slotte zal ik de aangescherpte vereisten voor toestemming als grondslag behandelen.

De soort data waar dit artikel zich op toespitst is een species van de genus “data betreffende iemands gezondheid”. Deze laatste categorie, de gezondheidsdata, kan ook bijvoorbeeld data met betrekking tot iemands sportprestaties betreffen, zoals deze bijvoorbeeld door sport-apps voor de mobiele telefoon wordt gemeten. Medische data betreft dus data die zich specifiek tot iemands gezondheid verhouden. Medische data is, zoals hiervoor al  is gesteld, een van de meest gevoelige soorten persoonsgegevens. Er is weinig wat het wezen van de mens meer raakt dan zijn gezondheid.

Waarborgen en inzage medische gegevens

Vanzelfsprekend moeten er grote hoeveelheden data worden verwerkt in de medische wereld, iets wat gelukkig over het algemeen goed met waarborgen omkleed is. Allereerst valt hierbij te denken aan het medisch beroepsgeheim, in Nederland in het Burgerlijk Wetboek gecodificeerd in artikel 457 lid 1 van Boek 7. Onder dit beroepsgeheim mogen artsen zonder toestemming van de patiënt geen gegevens betreffende die patiënt of inzage in de gegevens over die patiënt, zoals zijn medisch dossier zoals bedoeld in artikel 7:454 BW, geven, tenzij er sprake is van een wettelijke plicht daartoe. Er zijn dus twee gronden voor het delen van de gegevens van een patiënt met een ander dan die patiënt: toestemming of een wettelijke plicht. Dit correspondeert met de gronden van artikel 6 lid 1 sub a en c AVG. Beargumenteerd zou kunnen worden dat ook de grondslag van sub d, de gegevensverwerking die noodzakelijk is in verband met vitale belangen van de betrokkene, van toepassing zou kunnen zijn: denk eens aan de persoon die plots in het ziekenhuis moet worden opgenomen na een ongeluk, maar in verband met eerder medicijngebruik een bepaald medicijn niet mag hebben. De persoonsgegevens betreffende zijn medicijngebruik zouden dan in verband met zijn vitale belang van de juiste medicijntoediening gerechtvaardigd verwerkt moeten kunnen worden. Tot zover de verwerking van persoonsgegevens en in hoeverre anderen dit in kunnen zien; mijns inziens goed gewaarborgd, zodat mijns inziens niet ook dat van anderen hoeft te zijn.

Als het gaat om de patiënt die zelf inzage wil in zijn eigen gegevens wordt de zaak weer anders. Dit inzagerecht beoogt de AVG namelijk te versterken: in artikel 15 wordt de betrokkene het recht toegekend inzage in de hem betreffende persoonsgegevens te verkrijgen. Met betrekking tot medische gegevens is dit naar huidig recht reeds mogelijk: op grond van artikel 7:456 BW moet de hulpverlener aan de patiënt desgevraagd zo spoedig mogelijk inzage in en afschrift van zijn medisch dossier, zoals bedoeld in artikel 7:456 BW, verstrekken. Deze inzage kan ook elektronisch: op grond van artikel 15d van de Wet gebruik burgerservicenummer in de zorg moet de zorgaanbieder de inzage of het afschrift van het dossier of van de gegevens betreffende deze cliënt die in een elektronisch uitwisselingssysteem beschikbaar worden gesteld op elektronische wijze verstrekken.[2] Er kan nog wel een zeker verschil zitten tussen de zaken waarin inzage wordt gegeven via deze wegen: waar de wetsingang van de AVG louter ziet op persoonsgegevens gaat het om het medisch dossier bij de patiëntenrechtenregeling van boek 7 BW. Op grond van momenteel nog de Wbp, en overigens ook straks onder de AVG, kan geweigerd worden om inzage te geven in delen van een medisch dossier omdat deze niet worden aangemerkt als persoonsgegevens, aldus de Hoge Raad in zijn arrest van 18 maart 2018.[3] De wijze waarop de inzage in het elektronisch dossier nu en in de nabije toekomst wordt geregeld in de Wet op de geneeskundige behandelovereenkomst ziet Nouwt niet als een regeling die afdoende aan de eisen en verwachtingen van de 21e eeuw voldoet; de wijze waarop onder meer de AVG de situatie wijzigt gelukkig wel.[4]

De ene toestemming is de andere niet.

Net als in de Wbp is in de AVG de toestemming van de betrokkene opgenomen als grondslag voor gegevensverwerking. In de AVG zijn de vereisten voor toestemming echter aangescherpt, een ontwikkeling die ook voor de zorgsector met name van belang is. Ik zal eerst de oude situatie schetsen.

Onder artikel 8 Wet Bescherming Persoonsgegevens was toestemming al een geldige grondslag voor verwerking. Hierbij was echter niet vereist dat deze toestemming expliciet is: ook uit ander handelen dan een expliciete actie van een betrokkene kon worden afgeleid dat een betrokkene toestemming geeft. Vanuit artikel 7 AVG moet er sprake zijn van een duidelijke actieve handeling; stilzwijgen of het gebruiken van een vooraf aangekruist vakje kan niet als toestemming gelden.[5] In de zorgsector is het vereiste van toestemming ook buiten gegevensverwerking van belang: in artikel 7:450 lid 1 BW is ten aanzien van de geneeskundige behandelovereenkomst tevens bepaald dat voor verrichtingen ter uitvoering van een behandelingsovereenkomst de toestemming van de patiënt vereist is.

Met betrekking tot toestemming is ook het gebruik van elektronische of webformulieren erg interessant. Zoals al eerder gezegd moet er een expliciete en ondubbelzinnige toestemming tot stand komen, waarvan geen sprake is als een akkoordverklaring al vooraf ingevuld is. Er moet actief op het “ik ga akkoord”-vinkje geklikt worden voor elektronisch gegeven toestemming geldig is. Wat nog meer van belang is, is het vereiste dat de betrokkene ook goed heeft begrepen waarvoor zij toestemming heeft gegeven, onder andere neergelegd in artikel 7 AVG. Ten aanzien van bijvoorbeeld een geneeskundige behandelovereenkomst is artikel 7 van overeenkomstige toepassing: volgens lid 2 van dit artikel moet “indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere gelegenheden betrekking heeft, (…) het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden”. Er zou bij zo’n “medische overeenkomst” de in artikel 7:450 BW vereiste toestemming verleend moeten worden, maar ook bijvoorbeeld de expliciete en ondubbelzinnige toestemming die vereist is als grondslag voor gegevensverwerking. De vraag is echter of het wel mogelijk is om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm, dus in eenvoudige en duidelijke taal, te vragen. Volgens Coughlin is dit inderdaad een lastig debacle: informatie die op een computerscherm weergegeven wordt blijkt vaak slechter begrepen en onthouden te worden door patiënten dan tekst vanaf papier.[6] Ook is het vaak slecht navigeerbaar, wat bijdraagt aan het minder goed onthouden ervan: doordat het menselijke brein dan zowel moet lezen als aandacht moet geven aan het besturen van de computer gaat het proces van opslaan van de informatie minder goed. Coughlin raadt daarom aan om informatie die elektronisch wordt aangeboden beschikbaar te maken om op te slaan en af te drukken, zodat patiënten er in elk geval vaker naar kunnen kijken en door het fysiek te kunnen lezen het beter kunnen onthouden en begrijpen.

Conclusie

De AVG zal voor de medische sector zeker het nodige teweeg gaan brengen. Met slechts enkele kleine aspecten van de AVG, zoals in dit artikel belicht, zijn al veel omstandigheden van belang en veel mogelijke wijzigingen noodzakelijk. Juist vanwege de grote hoeveelheid gegevens en de gevoelige aard daarvan die in de zorgsector omgaan zal, zo lijkt mij, een toezichthouder de verwerkingsverantwoordelijken zeer nauw in de gaten houden. Het inzagerecht kan een grote stap voorwaarts betekenen voor de mate waarin patiënten weten hoe hun medisch dossier er precies uitziet en hun begrip daarvan: zeker zij die vaak en veel met artsen te maken hebben kunnen vaak door de bomen het bos niet meer zien. Door hun dossier er op na te kunnen slaan, het liefst in enigszins begrijpelijke bewoordingen, kunnen patiënten beter in de gaten houden hoe het gaat met hun gezondheid, medicijnen en behandelingen. Voor wat betreft het vereiste van de noodzakelijke expliciete en ondubbelzinnige toestemming zal het laatste woord nog niet gezegd en geschreven zijn. Toestemming zal in medische situaties lang niet altijd volledig vrij gegeven kunnen worden, in hoeverre bijvoorbeeld toestemming onbezwaard gegeven is als je net bent geïnformeerd over een levensbedreigende ziekte, iets dat logischerwijs een flinke emotionele impact zal hebben. Ook is het vaak erg lastig om de volle zwaarte en implicaties van medische zaken te doorgronden als leek. Het moge duidelijk zijn dat de Functionaris Gegevensbescherming[7] bij elke grotere zorginstelling genoeg te doen zal hebben, zowel voor het in lijn brengen van de bedrijfsvoering met de beginselen van gegevensverwerking als het voorkomen, en indien van toepassing melden en “genezen” van datalekken.

 

Auke Frank Tadema

 

[1] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119/1 e.v..
[2] Zie Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens), Kamerstukken 33509, Stb. 2016, 373.
[3] Hoge Raad 18 maart 2018, ECLI:NL:HR:2018:365. Hierbij sloot de Hoge Raad aan bij het arrest van het HvJEU van 17 juli 2014, gevoegde zaken C-141/12 en C-372/12, ECLI:EU:C:2014:2081 (Y.S. vs. Minister van Immigratie, Integratie en Asiel).
[4] J. Nouwt, ‘Naar een recht op elektronische inzage in het medisch dossier’, P&I 2016, nr. 252, p.247-249. J. Nouwt is werkzaam als onderzoeker bij de Koninklijke Nederlandsche Maatschappij tot Bevordering der Geneeskunst – KNMG..
[5] C. van Balen en O.S. Nijveld , ‘De Algemene verordening gegevensbescherming: een introductie voor de zorgsector’ TvGR 2017, afl. 8, p. 607-624.
[6] C.N. Coughlin, “E-Formed Consent: Can Informed Consent be just a Click Away?,” 50 Wake Forest L. Rev. 381 (2015). C.N. Coughlin is Professor of Legal Writing bij Wake Forest University School of Law.
[7] Een functionaris die bij organisaties toezicht moet houden op de gegevensverwerking en “betrokken moet worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens”, aldus artikel 38 AVG.